自定義設置到 Amazon SageMaker

為組織設定 (自訂設定) 會引導您完成 Amazon SageMaker 網域的進階設定。此選項提供資訊和建議，協助您瞭解和控制帳戶設定的所有層面，包括權限、整合和加密。如果您要設定自訂網域，請使用此選項。如需有關網域的資訊，請參閱Amazon SageMaker 域名概述。

身分驗證方法

在設定網域之前，請考慮使用者存取網域的驗證方法。

AWS 身分識別中心：

• 協助簡化對使用者群組的存取權限管理作業。您可以授與或拒絕使用者群組的權限，而不是將這些權限套用至每個個別使用者。如果使用者移至其他組織，您可以將該使用者移至其他組織 AWS Identity and Access Management 身分識別中心 (AWS IAM Identity Center) 群組。然後，使用者會自動接收新組織所需的權限。

  請注意，IAM身分識別中心必須位於相同 AWS 區域 作為域名。

  若要使用IAM身分識別中心進行設定，請使用 AWS IAM身分識別中心使用指南：

  • 從啟用開始 AWS IAM Identity Center.

  • 建立遵循套用最低權限權限的最佳作法的權限集。

  • 將群組新增至您的IAM身分識別中心目錄。

  • 將單一登入存取權指派給使用者和群組。

  • 檢視基本工作流程，以便在IAM身分識別中心開始執行一般工作。

• IAM身分識別中心中的使用者可以使用 AWS 存取入口網站 URL這是通過電子郵件發送給他們。電子郵件提供建立帳戶以存取網域的指示。如需詳細資訊，請參閱登入 AWS 存取入口網站.

  作為管理員，您可以找到 AWS 存取入口網站 URL透過導覽至IAM身分識別中心並尋找 AWS 存取入口網站 URL在設置摘要。

• 您的網域必須使用 AWS Identity and Access Management (IAM) 如果您希望限制對特定 Amazon 虛擬私有雲 (VPCs)、界面端點或一組預先定義的 IP 地址存取您的網域，請進行身份驗證。使用IAM身分識別中心驗證的網域不支援此功能。您仍然可以使用IAM身分識別中心來啟用集中式員工身分控制。如需如何實作這些限制，同時保留IAM身分中心以提供一致的使用者登入體驗的指示，請參閱使SAML用IAM身分中心安全存取 Amazon SageMaker Studio Classic 版，以及 AWS 機器學習部落格。請注意 AWS SSO是IAM身分識別中心在此部落格中。

通過登錄 IAM：

• 登入帳戶後，使用者設定檔可以透過 SageMaker 主控台存取網域。

• 使用時，您可以限制對特定 Amazon 虛擬私有雲 (VPCs)、界面端點或一組預先定義的 IP 位址存取您的網域 AWS Identity and Access Management （IAM）身份驗證。如需詳細資訊，請參閱僅允許從您的內部存取 VPC。

組織設定 (自訂設定)

使用主控台進行自訂設定

符合中的先決條件之後Amazon SageMaker 前提，請開啟「設定 SageMaker 網域 (自訂設定)」頁面，並展開下列各節，以取得有關設定的資訊。

從 SageMaker 主控台開啟「設定 SageMaker 網域」

1. 開啟主SageMaker 控台。

2. 在左側導覽窗格中，選擇 [管理員設定] 以展開選項。

3. 在管理員組態下，選擇網域。

4. 從網域頁面中，選擇建立網域。

5. 在 [設定 SageMaker 網域] 頁面上，選擇 [為組織設定]。

6. 選擇 Set up (設定)。

開啟「設定 SageMaker 網域」頁面後，請遵循下列指示：

步驟 1：網域詳細資料

1. 在「網域名稱」中，輸入網域的唯一名稱。例如，這可以是您的專案或團隊名稱。

2. 選擇 Next (下一步)。

步驟 2：使用者和 ML 活動

在此步驟中，您可以設定網域的驗證方法、使用者和權限。

1. 在您想如何訪問工作室？ ，您可以選擇兩個選項之一。如需有關驗證方法的資訊，請參閱身分驗證方法。下列提供有關選項的詳細資訊：

   • AWS 身分識別中心：

     在誰將使用工作室？ 選擇一個 AWS IAM Identity Center 將存取網域的群組。

     如果您選擇 [無識別中心] 使用者群組，則建立沒有使用者的網域。您可以在網域建立後，將IAM身分識別中心群組新增至網域。如需詳細資訊，請參閱檢視和編輯網域。

   • 通過登錄 IAM：

     在誰將使用工作室？ 選擇 [+ 新增使用者]，輸入新的使用者設定檔名稱，然後選擇 [新增] 以建立並新增使用者設定檔名稱。

     您可以重複此程序來建立多個使用者設定檔。

2. 在誰將使用工作室？ 選取IAM身分識別中心使用者或群組，然後選擇 「選取」。您必須在設定IAM身分中心的相同區域內設定 Amazon SageMaker Studio。您可以從主控台右上角的下拉式清單中選擇 [地區] 來變更網域的 [區域]，或IAM者您可以瀏覽至 [AWS 存取入口網站。

3. 在他們執行什麼 ML 活動？ 您可以選擇 [使用現有角色] 來使用現有角色，或者選擇 [建立新角色] 並勾選您希望角色具有存取權的 ML 活動來建立新角色。

4. 選取 ML 活動時，您可能需要滿足需求。若要滿足需求，請選擇「新增」並完成需求。

5. 滿足所有需求之後，請選擇「下一步」。

步驟 3：應用程式

在此步驟中，您可以設定在上一個步驟中啟用的應用程式。如需 ML 活動的詳細資訊，請參閱機器學習 (ML) 活動參考。

如果應用程式尚未啟用，您會收到該應用程式的警告。若要啟用尚未啟用的應用程式，請選擇上一步回到上一個步驟，然後依照先前的指示執行。

• 工作室配置：

  在 Studio 下，您可以選擇在較新和經典版本的 Studio 作為默認體驗之間進行選擇。這表示當您開啟 Studio 時，選擇要與之互動的 ML 環境。

  • Studio 包括多個整合式開發環境 (IDEs) 和應用程式，包括 Amazon SageMaker 工作室經典版。如果選擇，則工作室經典版IDE具有默認設置。如需預設設定的資訊，請參閱預設設定。

    如需 Studio 的資訊，請參閱Amazon SageMaker 一室。

  • 經典工作室包括 Jupyter IDE。如果選擇，您可以配置您的工作室經典配置。

    如需經典工作室的資訊，請參閱Amazon 經典 SageMaker 一室。

• SageMaker 畫布配置：

  如果您已啟用 Amazon SageMaker Canvas，請參閱以開始使用 Amazon SageMaker 畫布取得上線的說明和組態詳細資訊。

• 工作室經典配置：

  如果您選擇工作室 (建議使用) 做為預設體驗，Studio 經典版會IDE有預設設定。如需預設設定的資訊，請參閱預設設定。

  如果您選擇 Studio 傳統版作為預設體驗，您可以選擇啟用或停用筆記本資源共用。筆記本資源包括單元格輸出和 Git 存儲庫等成品。如需筆記本資源的詳細資訊，請參閱分享和使用 Amazon SageMaker 工作室經典筆記本。

  如果您已啟用筆記本資源共用：

  1. 在可共用筆記型電腦資源的 S3 位置下，輸入您的 Amazon S3 位置。

  2. 在 [加密金鑰-選用] 下，保留為 [無自訂加密] 或選擇現有加密 AWS KMS 鍵或選擇輸入KMS密鑰ARN並輸入您的 AWS KMS 索引鍵的ARN。

  3. 在記事本儲存格輸出共用偏好設定下，選擇允許使用者共用儲存格輸出或停用儲存格輸出共用

• RStudio配置：

  若要啟用RStudio，您需要RStudio授權。若要設定，請參閱RStudio 授權。

  1. 在 RStudioWorkbench 下，確認已自動偵測到您的RStudio授權。如需取得RStudio授權並使用啟用授權的詳細資訊 SageMaker，請參閱RStudio 授權。

  2. 選取要啟動RStudio伺服器的執行個體類型。如需詳細資訊，請參閱R StudioServerPro 執行個體類型。

  3. 在許可下，建立您的角色或選取現有角色。此角色也須具有下列許可政策。此原則可讓RStudioServerPro應用程式存取必要的資源。它還允許 Amazon SageMaker 在現有RStudioServerPro應用程序處於Deleted或Failed狀態時自動啟動RStudioServerPro應用程序。有關向角色新增權限的資訊，請參閱修改角色許可政策 (主控台)。

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "license-manager:ExtendLicenseConsumption",
                     "license-manager:ListReceivedLicenses",
                     "license-manager:GetLicense",
                     "license-manager:CheckoutLicense",
                     "license-manager:CheckInLicense",
                     "logs:CreateLogDelivery",
                     "logs:CreateLogGroup",
                     "logs:CreateLogStream",
                     "logs:DeleteLogDelivery",
                     "logs:Describe*",
                     "logs:GetLogDelivery",
                     "logs:GetLogEvents",
                     "logs:ListLogDeliveries",
                     "logs:PutLogEvents",
                     "logs:PutResourcePolicy",
                     "logs:UpdateLogDelivery",
                     "sagemaker:CreateApp"
                 ],
                 "Resource": "*"
             }
         ]
     }    

  4. 在「RStudioConnect」下，URL為您的 RStudio Connect 伺服器新增。RStudioConnect 是 Shiny 應用程序，R 降價報告，儀表板，繪圖等的發布平台。當您開機時 RStudio SageMaker，不會建立 RStudio Connect 伺服器。如需詳細資訊，請參閱RStudio Connect URL。

  5. 在「P RStudioackage 管理員」下，URL為您的 P RStudio ackage 管理員新增。 SageMaker 當您上載時，會為 Package 管理員建立預設套件存放庫RStudio。如需 Package 管理員的詳RStudio細資訊，請參閱RStudio 套件管理員。

  6. 選取下一步。

• 代碼編輯器配置：

  如果您已啟用程式碼編輯器，請參開始使用 Amazon SageMaker 工作室中的代碼編輯器閱以取得概觀和組態詳細資訊。

第 4 步：自定義工作室 UI

在本節中，您可以自訂 Studio 中顯示的可檢視應用程式和機器學習 (ML) 工具。此自訂只會隱藏 Studio 中左側導覽窗格中的應用程式和 ML 工具。如需工作室使用者介面的資訊，請參閱Amazon SageMaker 工作室 UI 概述。

如需有關應用程式的資訊，請參閱Amazon SageMaker 工作室支持的應用。

工作室經典版中不提供自訂工作室使用者介面功能。如果您想要將 Studio 設定為預設體驗，請選擇 [上一步]，然後返回上一個步驟。

1. 在 [自訂 Studio UI] 頁面上，您可以將應用程式和 ML 工具切換為關閉，隱藏 Studio 中顯示的應用程式和 ML 工具。

2. 檢閱變更後，請選擇 [下一步]。

步驟 5：設定網路設定

選擇您希望 Studio 連接到其他人的方式 AWS 服務。

您可以選擇透過指定使用虛擬私人雲端 (VPC) 僅限網路存取類型來停用對 Studio 的網際網路存取。如果選擇此選項，除非您VPC具有和執行階段的介面端點，或具有網際網路存取的網路位址轉譯 (NAT) 閘道， SageMaker API且您的安全性群組允許輸出連線，否則無法執行 Studio 筆記本。有關 Amazon 的更多信息VPCs，請參閱選擇一個 Amazon VPC。

如果您選擇虛擬私有雲（VPC），則僅需執行以下步驟。如果您選擇 [公用網際網路存取]，則需要執行下列步驟的前兩個步驟。

1. 在下 VPC，選擇 Amazon VPC ID。

2. 在 [子網路] 下，選擇一或多個子網路。如果您不選擇任何子網，請 SageMaker 使用 Amazon 中的所有子網。VPC建議您使用不在限制可用區域中建立的多個子網路。在這些受限的可用區域中使用子網路可能會導致容量不足錯誤，並延長應用程式建立時間。如需可用區域的資訊，請參閱可用區域。

3. 在 [安全性群組] 下，選擇一或多個子網路。

如果選取「VPC僅」，則 SageMaker 會自動將為網域定義的安全性群組設定套用至網域中建立的所有共用空間。如果選取「僅公用網際網路」，則 SageMaker 不會將安全性群組設定套用至網域中建立的共用空間。

步驟 6：設定儲存

您可以選擇加密您的資料。建立網域時為您建立的 Amazon EFS 彈性 Amazon Elastic File System 案系統 (AmazonEBS) 和亞馬遜彈性區塊存放區 (Amazon) 檔案系統。代碼編輯器和 JupyterLab 空格都使用 Amazon EBS 大小。

加密 Amazon EFS 和 Amazon EBS 檔案系統之後，就無法變更加密金鑰。若要加密 Amazon EFS 和 Amazon EBS 檔案系統，您可以使用下列組態。

• 在 [加密金鑰-選用] 下，保留為 [無自訂加密] 或選擇現有KMS金鑰，或選擇 [輸入KMS金鑰] ARN 並輸入KMS金鑰。ARN

• 在預設空間大小-選擇性下，輸入預設空間大小。

• 在 [最大空間大小-選擇性] 下，輸入最大空間大小。

步驟 7：檢閱並建立

檢閱您的網域設定。如果您需要變更設定，請選擇相關步驟旁邊的 [編輯]。確認網域設定正確後，請選擇「提交」，就會為您建立網域。此程序可能需要幾分鐘的時間。

使用自訂設定 AWS CLI

以下各節提供 AWS CLI 使用IAM身分識別中心或IAM驗證方法進行網域自訂設定的指示。

滿足先決條件後，包括設置您的 AWS CLI 認證，在中Amazon SageMaker 前提，使用下列步驟。

1. 建立用於建立網域並附加AmazonSageMakerFullAccess原則的執行角色。您也可以使用現有的角色，該角色至少具有連接的信任原則，該角色會授 SageMaker 予承擔該角色的權限。如需詳細資訊，請參閱如何使用 SageMaker 執行角色。

   aws iam create-role --role-name execution-role-name --assume-role-policy-document file://execution-role-trust-policy.json
   aws iam attach-role-policy --role-name execution-role-name --policy-arn arn:aws:iam::aws:policy/AmazonSageMakerFullAccess

2. 獲取您帳戶的默認 Amazon Virtual Private Cloud（AmazonVPC）。

   aws --region region ec2 describe-vpcs --filters Name=isDefault,Values=true --query "Vpcs[0].VpcId" --output text

3. 獲取默認 Amazon VPC 中的子網列表。

   aws --region region ec2 describe-subnets --filters Name=vpc-id,Values=default-vpc-id --query "Subnets[*].SubnetId" --output json

4. 透過傳遞預設 Amazon VPC ID、子網路和執行角色ARN來建立網域。您還必須傳遞圖 SageMaker 像ARN。如需有關可用 JupyterLab 版本的資訊ARNs，請參閱設定預設 JupyterLab版本。

   對於authentication-mode，用SSO於IAM身分識別中心驗證或IAMIAM驗證。

   aws --region region sagemaker create-domain --domain-name domain-name --vpc-id default-vpc-id --subnet-ids subnet-ids --auth-mode authentication-mode --default-user-settings "ExecutionRole=arn:aws:iam::account-number:role/execution-role-name,JupyterServerAppSettings={DefaultResourceSpec={InstanceType=system,SageMakerImageArn=image-arn}}" \ --query DomainArn --output text

   您可以使用 AWS CLI 若要自訂 Studio 中針對網域顯示的應用程式和機器學習工具，請使用 StudioWebPortalSettings. 用HiddenAppTypes於隱藏應用程式和HiddenMlTools隱藏 ML 工具。如需自訂 Studio UI 左側導覽的詳細資訊，請參閱自訂 Amazon SageMaker 工作室使用者。此功能不適用於經典工作室。

5. 確認網域是否已建立。

   aws --region region sagemaker list-domains

使用自訂設定 AWS CloudFormation

如需使用建立網域的相關資訊 AWS CloudFormation，請參閱AWS:SageMaker:: 網域 AWS CloudFormation 使用者指南。

對於一個例子 AWS CloudFormation 您可以用來設定網域的範本，請參閱使用建立 Amazon SageMaker 網域 AWS CloudFormation在aws-samples GitHub 存儲庫中。

網域設定完成後，系統管理使用者即可檢視和編輯網域。如需相關資訊，請參閱 檢視和編輯網域。

上線後存取網域

用戶可以使用以下方 SageMaker 式訪問：

• URL如果網域是使用IAM身分識別中心驗證設定的登入。如需詳細資訊，請參閱如何登入使用者入口網站。

• 控SageMaker 制台。